|
|
Rank: AiutAmico
Iscritto dal : 6/30/2005
Posts: 98
|
Sulla chiavetta USB di mia sorella è stato caricato a sua insaputa,da una copisteria di Milano,il programma "disk knight" che risulta essere scritto da un giovane indiano.
Lo scopo è di avvertire (ed eventualmente arrestare) il trasferimento dei files.exe dalla chiavetta al computer;chiaramente è un mezzo per le copisterie (e simili) di difendersi da eventuali virus. Quindi penso che non si tratti di nulla di pericoloso ma è comunque fastidioso che ci si trovi su una chiavetta qualcosa di installato a propria insaputa.
Inoltre mi sembra di capire che il software si è installato in automatico sul portatile di mia sorella (con antivirus AVG) cui la chiavetta viene montata (anche se non ho trovato nessun programma con tale nome; chissà dove si annida). Dal portatile si è poi diffuso istantanentante su una mia chiavetta non appena collegata allo stesso portatile.
Invece la stessa chiavetta non ha installato nulla sul mio PC di casa (con Norton).
A Milano in zona Politecnico pare si sia diffuso con questo meccanismo tra gli studenti.
Qualcuno ne sa qualcosa? Pensate sia qualcosa di fastidioso ma innocuo o addirittura utile?
Grazie Gugly
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/19/2005
Posts: 4,409
|
Scusami, ma come fai a saperlo, se non lo trovi?? Prova a fare un controllo anti virus on line da panda http://www.pandasoftware.com/activescan/it/activescan_principal.htmma se non é un virus comunque non verrà riconosciuto. Però se sei sicuro che la copisteria ti ha installato quel programma a tua insaputa non devi fare altro che denunciarlo, quello che ha fatto é illegale, a meno che non ti abbia avvisato, e tu abbia accettato.
|
|
Rank: AiutAmico
Iscritto dal : 6/30/2005
Posts: 98
|
Forse non sono stato chiaro. Inserendo una chiavetta con tale programma installato,il simbolo della chiavetta USB nella barra vicino all'orologio diventa una specie di scudetto simile all'update di Windows e con il tasto DX del mouse si vedono alcune opzioni del programma.
A Milano pare che tantissimi studenti del Politecnico abbiano le chiavette "inquinate" da tale programma installato dalle copisterie dove fanno plottare i loro disegni;non si tratta di un virus anche se si diffonde come un virus;non mi è chiaro perchè sul mio pc con XP e Norton invece non si è installato nonostante abbia usato la stessa chiavetta.
Grazie di nuovo Gugly
|
|
Rank: AiutAmico
Iscritto dal : 6/30/2005
Posts: 98
|
Forse non sono stato chiaro. Inserendo una chiavetta con tale programma installato,il simbolo della chiavetta USB nella barra vicino all'orologio diventa una specie di scudetto simile all'update di Windows e con il tasto DX del mouse si vedono alcune opzioni del programma.
A Milano pare che tantissimi studenti del Politecnico abbiano le chiavette "inquinate" da tale programma installato dalle copisterie dove fanno plottare i loro disegni;non si tratta di un virus anche se si diffonde come un virus;non mi è chiaro perchè sul mio pc con XP e Norton invece non si è installato nonostante abbia usato la stessa chiavetta.
Grazie di nuovo Gugly
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Io penso che <font color=red><b>knight.exe</b></font id=red> sia pericoloso, eccome!
Agisce come segue: sulla Pen-drive "infetta" ci sono ("nascosti", dunque invisibili) due files: uno si chiama <i>knight.exe</i>, l'altro è l'<i>autorun.inf</i>... Non appena la Pen-drive viene inserita, scatta l'autorun e il file <b>knight.exe</b> vien subito copiato nella cartella di Sistema WINDOWS (dove resta, invisibile "nascosto" in attesa che venga inserita una Pen-drive). Il file in questione, nel momento in cui viene inserita una Pen-drive (o un Hard-Disk "esterno" di qualsivoglia genere e tipo) si copia immediatamente dentro alla periferica in questione, creando anche un apposito file <i>autorun</i> (il tutto, invisibile e "nascosto").
Apparentemente il computer NON subisce dei danni tali da esser percepiti, ma...
Quando si va a rimuovere il malware (come hanno scoperto alcuni sventurati), peraltro riuscendoci con non troppa difficoltà, si posson constatare gravissimi malfunzionamenti -post rimozione- di Sistema (fra l'altro, una seria difficoltà -se non addirittura una totale impossibilità- a aprire gli eseguibili) e un serissimo deterioramento del file <b>run32.dll</b> e di tutti i Processi ad esso correlati. Ben più di uno di quelli che son riusciti a rimuovere il malware, ha dovuto poi formattare comunque il suo computer entro pochi giorni.
La soluzione che generalmente vien proposta è la seguente: 1) disabilitare l'autorun di Windows; 2) inserire la Pen-drive nella quale si teme possa esserci il malware); 3) rendere visibili i files "nascosti" o "protetti dal Sistema"; 4) cercar nella Pen-drive l'eventuale presenza di <i>knight.exe</i>; 5) se lo si trova, eliminarlo immediatamente (chi vuole "andare sul sicuro" può anche scegliere di formattare seccamente la Pen-drive); 6) disconnettere la Pen-drive, poi controllare che il malware NON sia riuscito ad installarsi in qualche modo nella cartella WINDOWS e -se non c'è- riattivar l'autorun di Windows.
Alternativa (non so se sia poi buona: si tratta di un'idea mia):
1) impostare i computer per l'avvio "da CD-Rom";
2) inserire nel lettore il CD-Live di KNOPPIX, spegnendo poi il computer;
3) a computer spento, inserire la Pen-drive infetta, richiudere il lettore e riavviare il computer;
4) far partire KNOPPIX (non Windows) e, da KNOPPIX, accedere alla Pen-drive (che dovrebbe essere "leggibile" se la si è inserita prim'ancora di premere il tasto di avvio): se si verifica nella Pen-drive (o nell'HD "esterno") la presenza del malware, eliminarlo immediatamente; 5) eliminato il malware, controllare anche nella cartella WINDOWS (ma difficilmente il malware avrà potuto ricopiarsi qui) e, se non si trova nessun altro problema, spegnere il computer e rimuovere il CD di KNOPPIX e -poi- anche la Pen-drive; 6) riavviare il computer normalmente.
La mia idea si basa sul fatto che avviando "live" da un Sistema Operativo Linux, il malware non potrà far niente (né potrà attaccare Windows, dato che non c'è alcun "autorun").
Edited by - monsee on 11/12/2007 23:29:08
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Salve, anch'io, come una ventina di colleghi nella scuola dove lavoro siamo stati vittima del <font color=red>Knight.exe</font id=red>, ma non ne ho fatto un atragedia, perchè il virus si lascia domare facilmente. Non so dove monsee abbia letto di gente che ha dovuto formattare dopo la rimozione del virus. La realtà che io ho osservato sul mio e su altri pc è la seguente. Il virus viene veicolato nel computer da una chiave infetta (a sua volta infettata da un pc che ospitava il virus). Il virus consta di un eseguibile, <font color=red>Knight.exe</font id=red> di un file <font color=red>autorun.inf</font id=red>. Il file eseguibile va a collocarsi nella cartella C\Windows, ma fate attenzione, perchè è nascosto. Inoltre crea una chiave di registro in <i>HKLM\Software\Microsoft\Windows\CurrentVersion\Run</i>. La procedura di rimozione che ho effettuato e che a distanza di una settimana si è rilevata efficace è la seguente: la rimozione del virus dalla chiavetta è stata descritta efficacemente da monsee; per rimuovere il virus dal computer, basta aprire il TaskManager e terminare il processo <b>Knight.exe</b>, o meglio fare una scansione con <b>HijackThis</b> e fixare la voce relativa al virus tra le righe 04. In alternativa bisogna rimuovere manualmente la chiave di registro. Bisogna poi andare nella cartella C.\Windows ed eliminare il file a forma di scudetto <font color=red>Knight.exe</font id=red>. Questa procedura si è rivelata sufficiente per rimuovere definitivamente il virus.
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Eccovi una storia (soltanto per portare un esempio): http://www.mauriweblog.org/Cito la parte concernente il danno fatto dal Knight. exe: <BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>Dopo aver rimosso il virus knight.exe (seguendo le operazioni descritte qui) sono apparsi alcuni gravi effetti collaterali… In pratica Windows non è più in grado di aprire file eseguibili, vengano essi aperti direttamente o attraverso un collegamento. Il problema risiederebbe in una non corretta configurazione del servizio rundll32.exe (contenuto nella cartella system32 della directory di Windows) impiegato dal sistema operativo per avviare molte applicazioni. Nonostante il file sia integro e presente nella cartella, Windows non riesce a trovarlo chiedendo di scegliere da una lista il programma con cui aprire l’applicazione corrente. Eseguendo una ricerca sul registro con chiave "rundll32" non sono riuscito a trovare quasi nulla. Purtroppo la voce è stata cancellata quasi totalmente. Opera del virus? Ne sono quasi certo. Numerosi malware infatti prendono di mira il servizio rundll32.exe cercando di sostituirsi ad esso o di danneggiarlo. Vista la gravità del problema, non resta che formattare…<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Mah.... non so cosa dire. Mi sembra un caso più unico che raro. Potrebbe anche darsi che il virus non sia stata l'unica causa che ha costretto l'amico blogger a formattare, anche perchè - cito una frase dal blog - <i>... Non si conosce bene la pericolosità di questo strano file...</i>. Bisognerebbe chiederlo a <b>Ariful Islam</b>, il ragazzo di 19 anni residente a Chittagong in Bangladesh che ha messo in rete il virus (per lui è "un'applicazione")
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Pare che -ora come ora- preferisca non farsi più rintracciare tanto facilmente...
Mi posso anche sbagliare, ma -per le sue stesse peculiarità- io penso invece che si tratti di un file potenzialmente pericolosissimo.
|
|
|
Guest |